Politique de confidentialité — Le Club Liberkeys
Version 1.0 — En vigueur au 24 mai 2026
Liberkeys SAS (« Liberkeys », « nous ») s'engage à respecter votre vie privée et à protéger les données personnelles que vous nous confiez dans le cadre de l'utilisation de l'Application « Le Club Liberkeys » (la « Plateforme »), accessible à https://leclub.liberkeys.com.
La présente politique est conforme au Règlement Général sur la Protection des Données (RGPD, règlement UE 2016/679) et à la Loi Informatique et Libertés modifiée du 6 janvier 1978.
1. Responsable du traitement
Le responsable du traitement de vos données est :
Liberkeys SAS Société par Actions Simplifiée au capital de 272 334 € RCS Paris 830 609 244 — SIRET 830 609 244 00116 26 rue de Montholon, 75009 Paris, France Email général : rgpd@liberkeys.com
Liberkeys SAS étant une filiale du Crédit Mutuel Arkéa, certains traitements peuvent être gérés conjointement avec la maison-mère dans le respect des règles RGPD applicables à un groupe.
Vous pouvez contacter le délégué à la protection des données (DPO) du groupe à l'adresse protectiondesdonnees@arkea.com, ou notre équipe Le Club via rgpd@liberkeys.com pour toute question relative à la présente politique ou à l'exercice de vos droits.
2. Catégories de données collectées
Selon votre profil et votre usage de la Plateforme, nous collectons les données suivantes :
2.1. Données d'identification et de contact
- Nom, prénom(s)
- Adresse email
- Numéro de téléphone
- Adresse postale (pour les apporteurs d'affaires INDIVIDUAL)
- Date et lieu de naissance
2.2. Données spécifiques au régime « apporteur d'affaires occasionnel » (INDIVIDUAL)
- Numéro de sécurité sociale (NIR) — donnée sensible relevant du
décret n°2019-341 (ex-CNIL n°88-077)
- IBAN et BIC du compte bancaire personnel
2.3. Données spécifiques aux Parrains COMPANY
- Raison sociale, SIRET, n° TVA intracommunautaire
- Adresse du siège social
- RIB de la société (PDF)
- Factures émises à Liberkeys (PDF)
2.4. Données relatives aux parrainages soumis
- Identité et coordonnées du Filleul (vendeur recommandé) — collectées
par le Parrain avec consentement explicite
- Code postal du bien immobilier objet du parrainage
- Statut et historique du parrainage (signature de mandat, d'acte…)
2.5. Données de connexion et techniques
- Adresse IP, type de navigateur, système d'exploitation
- Date et heure de connexion, pages consultées
- Cookies de session strictement nécessaires
- Logs de sécurité (tentatives de connexion, OTP envoyés)
2.6. Données de communication
- Emails transactionnels envoyés (rappels, confirmations de paiement…)
- Notes éventuellement ajoutées par un Agent Liberkeys sur votre profil
3. Finalités et bases légales du traitement
| Finalité | Base légale | Données concernées |
|---|---|---|
| Création et gestion de votre compte | Exécution du contrat (CGU) | Identification, email, téléphone |
| Soumission et suivi des parrainages | Exécution du contrat | Données du parrainage, du Filleul |
| Versement des Commissions | Exécution du contrat | IBAN, identité légale |
| Déclaration sociale (DSN URSSAF) | Obligation légale (Code de la sécurité sociale) | NIR, identité légale, montants versés |
| Déclaration fiscale (DAS-2) | Obligation légale (Code général des impôts) | Identité légale, montants versés > 1 200 €/an |
| Lutte contre la fraude et l'usurpation d'identité | Intérêt légitime de Liberkeys | Toutes catégories |
| Communication transactionnelle (emails de service) | Exécution du contrat | Email, prénom |
| Communication marketing (newsletter Le Club) | Consentement explicite (opt-in) | Email, prénom |
| Amélioration de la Plateforme et statistiques internes | Intérêt légitime | Données techniques agrégées |
| Sécurité et journalisation | Intérêt légitime | Logs de connexion, adresses IP |
4. Le NIR — Cas particulier
Le NIR (numéro de sécurité sociale) est traité uniquement dans le cadre de l'obligation légale de Liberkeys d'effectuer la déclaration sociale nominative (DSN) auprès de l'URSSAF, dans le cadre du régime d'apporteur d'affaires occasionnel (art. L. 242-1-4 du Code de la sécurité sociale).
4.1. Mesures de sécurité spécifiques au NIR
- Accès restreint : seules les personnes habilitées de Liberkeys
(équipe paie, comptabilité interne) et notre cabinet comptable mandaté ont accès au NIR.
- Journalisation des accès : toute consultation du NIR par un
utilisateur interne est tracée dans un journal d'audit.
- Pas d'utilisation à d'autres fins : le NIR n'est jamais utilisé
pour des opérations marketing, statistiques, ni croisé avec d'autres bases.
- Suppression à la demande : vous pouvez demander à tout moment la
suppression de votre NIR ; cela emportera l'impossibilité d'effectuer toute nouvelle Commission tant qu'un NIR valide n'est pas refourni.
4.2. Destinataires du NIR
- URSSAF (organisme social principal)
- Notre cabinet comptable mandaté (sous contrat de sous-traitance avec
clauses RGPD conformes)
- Sur demande judiciaire ou administrative motivée
5. Destinataires des données
Vos données sont susceptibles d'être communiquées aux destinataires suivants :
- Équipes internes Liberkeys habilitées (équipe Club, équipe
technique, équipe paie/comptabilité, équipe juridique)
- Sous-traitants techniques :
- Vercel Inc. (hébergement applicatif, USA — clauses contractuelles types CCT) - Neon Inc. (base de données — données stockées à Frankfurt, UE) - Postmark (emails transactionnels — UE) - Vercel Blob (stockage de fichiers PDF — clauses CCT)
- URSSAF, fisc, organismes sociaux (obligation légale)
- Notre cabinet comptable (sous contrat de sous-traitance)
- Liberkeys Agents (mandataires immobiliers du réseau) : accès aux
parrainages les concernant (informations Filleul + statut)
- Autorités judiciaires et administratives sur demande motivée
Aucune cession à des tiers à des fins commerciales sans votre consentement explicite préalable.
6. Durées de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Compte utilisateur (général) | 3 ans à compter de la dernière connexion |
| Données comptables (Commissions, factures) | 10 ans (obligation Code de commerce, art. L. 123-22) |
| NIR | 10 ans à compter de la dernière Commission (cohérence avec obligation comptable) |
| IBAN | 5 ans à compter du dernier virement |
| Logs de connexion / sécurité | 1 an glissant |
| Données de parrainage abandonné | 3 ans après la dernière mise à jour |
| Newsletter (opt-in marketing) | Jusqu'à désabonnement par l'Utilisateur |
| Cookies de session | Durée de la session (suppression à la déconnexion) |
À l'expiration de ces délais, les données sont anonymisées ou supprimées, sauf obligation légale de conservation plus longue.
7. Cookies
L'Application utilise uniquement les cookies suivants :
| Nom | Type | Finalité | Durée |
|---|---|---|---|
__Secure-authjs.session-token | Strictement nécessaire | Session d'authentification | 30 jours |
__Host-authjs.csrf-token | Strictement nécessaire | Protection CSRF | Durée de session |
authjs.callback-url | Strictement nécessaire | Redirection post-connexion | 30 minutes |
Aucun cookie de traçage publicitaire ou d'analyse comportementale externe n'est déposé sur l'Application sans votre consentement explicite préalable.
Si nous décidions à l'avenir d'utiliser un outil d'analyse type Plausible, GA4 ou autre, une bannière de consentement conforme aux recommandations de la CNIL serait mise en place.
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) : obtenir une copie des données vous
concernant.
- Droit de rectification (art. 16) : corriger les données inexactes
ou incomplètes.
- Droit à l'effacement (art. 17), dit « droit à l'oubli » : demander
la suppression de vos données, sous réserve des obligations légales de conservation.
- Droit à la limitation du traitement (art. 18) : suspendre
l'utilisation de vos données dans certains cas.
- Droit à la portabilité (art. 20) : recevoir vos données dans un
format structuré et lisible par machine.
- Droit d'opposition (art. 21) : vous opposer au traitement pour
motif légitime, ou de manière inconditionnelle pour la prospection.
- Droit de définir des directives post-mortem sur le sort de vos
données après votre décès.
- Droit de retirer votre consentement à tout moment, pour les
traitements basés sur le consentement (art. 7).
Pour exercer ces droits, contactez rgpd@liberkeys.com en joignant une copie de votre pièce d'identité. Nous vous répondrons sous un mois.
En cas de désaccord persistant, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : https://www.cnil.fr/fr/plaintes (3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07).
9. Sécurité
Liberkeys met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité de vos données :
- Chiffrement en transit : connexions HTTPS/TLS obligatoires sur
toute l'Application
- Chiffrement au repos : base de données Neon chiffrée AES-256
- Authentification forte : code OTP à 6 chiffres + lien magique
signé, expiration 30 minutes, anti-bruteforce (5 tentatives max)
- Pour les actions critiques admin : OTP step-up requis (sessions
élevées valables 30 minutes)
- Logs d'audit : toutes les actions sensibles (paiement, blocage,
modification de paramètres) sont tracées dans un journal d'audit (rétention 1 an minimum)
- Sauvegardes : sauvegardes journalières automatiques de la base
de données (Point-in-Time Recovery 7 jours, fournisseur Neon)
- Habilitations restreintes : seules les personnes autorisées
accèdent aux données ; principe du moindre privilège
En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, Liberkeys s'engage à notifier la CNIL sous 72 heures et à vous en informer dans les meilleurs délais (art. 33 et 34 RGPD).
10. Transferts hors UE
Certains de nos sous-traitants techniques (Vercel pour l'hébergement applicatif notamment) sont situés hors de l'Union européenne (États-Unis). Les données personnelles à caractère identifiant (compte, parrainages) sont stockées en région Frankfurt, Allemagne (UE).
Lorsqu'un transfert vers les États-Unis est techniquement nécessaire (hébergement du code applicatif), il est encadré par des clauses contractuelles types (CCT) approuvées par la Commission européenne (décision 2021/914), garantissant un niveau de protection équivalent à celui de l'UE.
11. Modification de cette politique
Liberkeys se réserve le droit de modifier la présente politique. Toute modification substantielle fait l'objet d'une notification par email au moins 15 jours avant son entrée en vigueur. La version courante est toujours accessible sur https://leclub.liberkeys.com/confidentialite.
12. Contact
Pour toute question relative à cette politique ou à l'exercice de vos droits :
- Équipe Le Club Liberkeys :
rgpd@liberkeys.com - DPO du groupe Crédit Mutuel Arkéa :
protectiondesdonnees@arkea.com - Adresse postale : Liberkeys SAS — 26 rue de Montholon, 75009 Paris, France
Dernière mise à jour : 24 mai 2026 — Version 1.0.